网络工程师：VXLAN这9个术语要精通！

VXLAN（Virtual Extensible LAN）是一种用于在大规模数据中心中扩展二层网络的隧道技术。它通过在现有的三层网络基础设施上创建虚拟的二层网络，使不同物理位置的虚拟机能够互相通信。本文将详细介绍VXLAN中的一些关键术语，包括租户、Underlay网络和Overlay网络、NVE、VTEP、VNI、BD、VBDIF接口、VAP和网关。

租户 (Tenant)

在云计算和网络虚拟化中，"租户"是指在共享的物理基础设施上运行的独立用户或客户群体。每个租户都可以认为是一个独立的业务实体，拥有自己的计算资源、存储资源和网络资源，这些资源与其他租户隔离。

在VXLAN中，租户隔离是通过VXLAN Network Identifier (VNI) 来实现的。每个租户可以拥有一个或多个VNI，这些VNI将租户的流量与其他租户的流量隔离开来。租户通常用于多租户环境，例如云服务提供商的数据中心，其中多个客户共享相同的物理硬件，但各自的网络流量是隔离的。

在一个云数据中心中，租户A和租户B可能同时存在。租户A可能运行电子商务应用，而租户B可能运行数据库服务。通过VXLAN技术，租户A的网络流量不会干扰租户B的流量，即使他们共享相同的物理网络基础设施。

Underlay网络和Overlay网络

• Underlay网络：是指在数据中心内存在的实际物理网络基础设施，包括物理交换机、路由器和物理链路。Underlay网络负责传输实际的数据包。
• Overlay网络：是构建在Underlay网络之上的虚拟网络。它通过在物理网络上创建虚拟隧道，将不同物理位置的虚拟机连接起来。

Underlay网络

Underlay网络提供了基本的传输路径，负责路由和交换基础设施。它使用标准的IP路由协议，如OSPF、BGP等，确保网络的高可用性和高性能。

Overlay网络

Overlay网络利用VXLAN协议在Underlay网络上创建虚拟隧道。每个隧道由一对VTEP（VXLAN Tunnel Endpoints）设备终结。VXLAN数据包被封装在UDP数据包中，通过Underlay网络传输。Overlay网络允许在不改变现有物理网络的情况下扩展和隔离虚拟网络。

在数据中心中，运营商可以使用Underlay网络提供基础连接，并在其上部署多个Overlay网络以支持不同的租户或应用。例如，一个Underlay网络可能由传统的IP网络组成，而Overlay网络则通过VXLAN技术实现虚拟化。

NVE (Network Virtualization Edge)

NVE（Network Virtualization Edge）是VXLAN架构中的一个关键组件。它位于物理网络和虚拟网络的边缘，负责VXLAN隧道的终结和流量的封装/解封装。

NVE可以部署在物理服务器上的虚拟交换机中，或部署在专用网络设备（如硬件交换机）中。NVE的主要职责包括：

• 封装/解封装VXLAN数据包：NVE将来自虚拟网络的二层以太网帧封装到VXLAN头中，然后通过Underlay网络传输。接收到的数据包则反向操作，去除VXLAN头后将帧转发到相应的虚拟网络中。
• 维护隧道状态：NVE需要维护与其他VTEP的隧道状态信息，以确保数据包能够正确路由到目的地。
• 处理多租户流量：NVE通过VNI（VXLAN Network Identifier）区分不同租户的流量，确保隔离性。

在云数据中心中，NVE通常部署在计算节点的虚拟交换机中，如Open vSwitch (OVS)，或硬件交换机中，以提供高性能的VXLAN隧道终结功能。

VTEP (VXLAN Tunnel Endpoints)

VTEP（VXLAN Tunnel Endpoints）是VXLAN隧道的终点设备，负责VXLAN数据包的封装和解封装。每个VTEP都有一个唯一的IP地址，用于在Underlay网络中进行通信。

VTEP设备可以是物理交换机、路由器或运行在服务器上的虚拟交换机。其主要功能包括：

• 封装数据包：将来自虚拟网络的以太网帧封装到VXLAN数据包中，并通过Underlay网络发送到目标VTEP。
• 解封装数据包：从Underlay网络接收到VXLAN数据包后，去除VXLAN头，将内部以太网帧转发到相应的虚拟网络。
• 学习MAC地址：VTEP设备通过监听VXLAN数据包中的源MAC地址，动态构建MAC地址表，以进行高效的二层转发。

VTEP通常部署在数据中心的网络边缘设备上，如Top of Rack (ToR) 交换机，或服务器上的虚拟交换机中，支持虚拟机之间的高效通信。

VNI (VXLAN Network Identifier)

VNI（VXLAN Network Identifier）是一个24位的标识符，用于区分不同的VXLAN虚拟网络。每个VXLAN隧道都被分配一个唯一的VNI，以确保多租户环境中的流量隔离。

VNI是VXLAN头的一部分，每个VXLAN数据包中都包含VNI字段。VNI的范围从1到16,777,215，这意味着VXLAN可以支持多达16,777,215个独立的虚拟网络。

• 租户隔离：通过VNI，不同租户的流量在同一个物理网络中保持隔离。
• 虚拟网络识别：NVE和VTEP使用VNI来识别和处理来自不同虚拟网络的流量。

在云数据中心，运营商可以为每个租户分配一个或多个VNI，确保不同租户之间的网络流量互不干扰。例如，租户A可能使用VNI 1001，而租户B使用VNI 1002，两者的流量将被完全隔离。

BD (Bridge Domain)

BD（Bridge Domain）是一个二层广播域，包含一组逻辑上互相连接的设备。每个BD都与一个或多个VNI相关联，用于隔离和管理VXLAN中的二层流量。

在VXLAN架构中，BD的概念类似于传统的VLAN。它提供了一个逻辑二层隔离环境，支持二层广播、未知单播和多播流量。BD的主要功能包括：

• 流量隔离：通过将不同的二层流量分配到不同的BD，实现流量隔离。
• 广播域管理：BD处理VXLAN中的广播、未知单播和多播流量，确保这些流量只在特定的BD内传播。

在一个数据中心中，运营商可以为每个租户创建一个或多个BD，以管理和隔离其二层网络流量。例如，租户A可能有一个BD用于其Web服务器，另一个BD用于其数据库服务器，确保不同应用之间的流量隔离。

VBDIF接口

VBDIF（Virtual Bridge Domain Interface）是VXLAN中的一种逻辑接口，用于在不同的BD之间进行路由和通信。它充当了不同BD之间的网关角色。

VBDIF接口的主要功能包括：

• 路由功能：VBDIF接口可以在不同的BD之间进行路由，使得不同二层网络中的设备能够互相通信。
• 网关功能：VBDIF接口充当二层网络的网关，处理从一个BD到另一个BD的流量。
• 多租户支持：通过VBDIF接口，可以在保持租户隔离的前提下实现多租户之间的通信，同时确保安全和隔离。

在一个多租户数据中心中，VBDIF接口用于管理和路由来自不同租户的流量。例如，租户A的Web服务器位于BD1，数据库服务器位于BD2。通过配置VBDIF接口，租户A的Web服务器和数据库服务器可以在不同的BD之间进行通信，而无需影响其他租户的流量。

VAP (Virtual Access Point)

VAP（Virtual Access Point）是一个虚拟接入点，允许虚拟机或其他终端设备接入VXLAN网络。VAP为每个终端设备提供逻辑上的网络接入点，确保其能够参与到VXLAN网络中。

VAP的主要功能包括：

• 终端设备接入：VAP充当终端设备进入VXLAN网络的入口点，提供必要的网络配置和服务。
• 网络隔离：通过VAP，可以将终端设备连接到特定的VNI和BD，确保其流量与其他设备隔离。
• 动态管理：VAP支持动态配置和管理，可以根据需求快速调整网络配置，适应不同的网络需求。

在数据中心，VAP通常用于虚拟机的网络接入。例如，当一个虚拟机启动时，VAP会为其分配一个虚拟网络接口，并将其连接到相应的VNI和BD，使其能够参与到VXLAN网络中。

网关 (Gateway)

网关（Gateway）是网络中的关键设备，用于在不同网络之间进行数据包的转发和路由。网关可以是物理设备（如路由器）或虚拟设备，负责处理跨网络的通信。

在VXLAN网络中，网关的主要功能包括：

• 跨网络路由：网关负责在不同的VXLAN网络（即不同的VNI）之间进行路由，使得来自一个VNI的流量能够到达另一个VNI。
• 地址转换：网关可以进行网络地址转换（NAT），将内部网络地址转换为外部网络地址，反之亦然。
• 安全管理：网关可以应用安全策略，控制进出网络的流量，确保网络安全。

在数据中心中，网关通常部署在核心交换机或路由器中，负责跨VNI的流量管理和路由。例如，租户A的VNI 1001和租户B的VNI 1002之间的通信需要通过网关进行路由和处理，确保两者的流量隔离和管理。

总结

VXLAN技术通过创建虚拟网络隧道，提供了灵活、高效的网络虚拟化解决方案。在VXLAN架构中，租户、Underlay网络和Overlay网络、NVE、VTEP、VNI、BD、VBDIF接口、VAP和网关等关键术语构成了其核心组件。理解这些术语及其功能，对于构建和管理大规模数据中心网络至关重要。通过本文的详细介绍，希望能帮助读者更好地理解和应用VXLAN技术，以实现高效的网络虚拟化和管理。